Linux下利用psacct审计系统帐号连接时间, 用户操作

时间：2010-10-14 来源：劲松

Linux下利用psacct审计系统帐号连接时间, 用户操作一般情况下需要查询用户的历史命令，连接时间,连接IP需要查询多个命令或日志 : history 查询用户的历史命令默认HISTSIZE=1000 记录最近的1000行命令,默认是没有记录执行时间的，也看不到来自哪个终端 /var/log/secure 查询登陆时间,来源IP lastlog 各个系统帐号最后登陆的时间使用psacct-6.3.2-44.el5(现在yum源上的版本)就能一次查询多个信息，相对于上面的方法更加简便有效. 要使用psacct必须安装软件包且启动psacct服务. 启动了服务之后才开始统计. 信息将记录进/var/log/psacct psacct的4个核心命令 : 1) ac [参数] 按要求统计帐号总连接时间, 不加参数则统计连接时间总和 ac常用参数        ac     [ -d | --daily-totals ] [ -y | --print-year ]
              [ -p | --individual-totals ] [ people ] 2) lastcomm [参数] 可以看到由近到远帐号执行命令内容，时间点，终端,消耗的CPU时钟. 不带参数时你还可以看到系统服务执行的命令。使用管道执行的命令每个命令都会占用一行。 lastcomm常用参数:        lastcomm
              [ command-name ... ]
              [ user-name ... ]
              [ terminal-name ... ] 3) accton 打开/关闭统计 4) sa 以命令为单位报告系统资源消耗量. 扩展链接

http://www.cyberciti.biz/tips/howto-log-user-activity-using-process-accounting.html